Buste paga e contratti nelle Risorse Umane: cosa si aspetta il GDPR
Le Risorse Umane gestiscono buste paga, contratti, certificati medici e coordinate bancarie. Ecco cosa chiede il GDPR a chi li tratta, e perché farlo sul proprio dispositivo aiuta.
Un ufficio Risorse Umane è uno dei luoghi più densi di dati in qualunque azienda. In un normale martedì, una sola persona potrebbe aprire una busta paga, un contratto firmato, un certificato medico, un certificato bancario e la copia del documento d’identità di qualcuno. Ognuno di questi è un PDF, e ognuno di questi PDF riguarda una persona reale che non vede mai come viene gestito.
È il mestiere. La domanda è cosa si aspetta il GDPR che tu faccia con tutto questo, e dove si colloca il lavoro quotidiano sui PDF all’interno delle regole.
I dati che le HR toccano sono di quelli delicati
Non tutti i dati personali sono uguali sotto il GDPR. Un indirizzo email di lavoro è un dato personale. Lo è anche una cifra di stipendio, ma pesa di più, e le HR ci stanno sedute sopra in grande quantità.
Le buste paga mostrano quanto guadagnano le persone. I contratti mostrano le condizioni, a volte clausole su salute o situazione familiare. I certificati medici possono rivelare una condizione sanitaria, che è una categoria particolare di dati con protezione aggiuntiva. Le coordinate bancarie aprono la porta alle frodi. I codici fiscali e i numeri di previdenza sociale sono esattamente ciò che vogliono i ladri d’identità. Metti tutto questo in un unico reparto e hai un bersaglio.
Il GDPR si preoccupa di più di questo materiale perché il danno da una fuga è maggiore. Una lista marketing trapelata è fastidiosa. Una pila trapelata di buste paga e scansioni di documenti può rovinare le finanze di qualcuno e la sua tranquillità.
Cosa ti chiedono davvero le regole
Non hai bisogno di memorizzare il regolamento per rispettarlo. Pochi doveri coprono gran parte di ciò che le HR fanno con questi file.
Tieni i dati al sicuro. L’articolo 32 chiede misure tecniche e organizzative adeguate. In parole povere, i file vanno protetti in modo proporzionato a quanto sono sensibili. Una busta paga merita più cura di un menù della mensa.
Usa solo ciò che ti serve, per il tempo che ti serve. Raccogli un contratto per gestire il rapporto di lavoro, non per conservarlo per sempre su un’unità condivisa che mezzo ufficio può leggere. Quando il motivo è venuto meno, anche il file deve andarsene.
Sappi dove viaggiano i dati. Ogni volta che un file lascia il tuo controllo, dovresti sapere chi lo riceve e perché. Se affidi dati personali a un servizio esterno che li tratta per te, quel servizio è un responsabile del trattamento, e dovrebbe esserci un contratto che disciplina cosa può farne.
Sii pronto a renderne conto. Se qualcosa va storto, devi poter dimostrare di aver adottato misure ragionevoli. “L’ho caricato su un sito gratuito trovato tra i risultati di ricerca” non è una misura che vorrai difendere.
Dove finisce il file fa parte del mestiere
Ecco la falla che coglie le persone in buona fede. Il personale HR pensa attentamente a chi può aprire la cartella condivisa, e poi unisce due buste paga sul primo sito PDF che trova. L’attento controllo degli accessi sulla cartella non vale nulla se il file viene caricato altrove trenta secondi dopo.
La maggior parte degli strumenti PDF online funziona inviando il tuo file al loro server, eseguendo lì l’operazione e rimandandoti il risultato. Il file atterra su una macchina che non possiedi, gestita da un’azienda che non hai mai valutato, in un luogo che non sai nominare. Forse lo eliminano secondo programma. Forse un backup ne conserva una copia. Forse l’intera cosa gira su infrastruttura noleggiata che fa passare il tuo file attraverso storage di cui non saprai mai nulla. Non puoi verificarlo, e nemmeno la persona il cui certificato medico hai appena spedito attraverso internet.
Per un certificato medico o un certificato bancario, quella copia caricata è il punto debole. Un file che non lascia mai il portatile delle HR non può essere esposto in una violazione che avviene sul server di qualcun altro.
Fare il lavoro sul proprio dispositivo
Esiste un tipo di strumento PDF che non carica mai nulla. L’intera operazione gira dentro il browser, sullo stesso computer che stai già usando. Il codice si carica una volta, il tuo PDF si apre nella memoria del browser, fai il lavoro, e il file finito si salva direttamente sulla tua macchina. Niente viene inviato all’esterno, perché non c’è alcun passaggio su server a cui inviarlo.
È così che funziona reader.me, ed è il motivo per cui si adatta ai documenti delle HR. Combinare una serie di buste paga, estrarre qualche pagina da un contratto, ridurre una scansione perché stia in una email: tutto avviene sul tuo computer. Chiudi la scheda e la memoria di lavoro se ne va con essa.
Non devi fidarti di me. Apri gli DevTools del browser, vai alla scheda Network, esegui un’operazione e guarda. Nessuna richiesta porta fuori il tuo file. Se il file non è in nessun corpo di richiesta, non è stato inviato da nessuna parte. È il tipo di verifica che piace all’articolo 32, perché puoi davvero dimostrarla.
Due cose che vale la pena fare oggi
Proteggi i file che lasciano lo studio. Quando invii una busta paga o un contratto via email, l’email stessa è raramente sicura da un capo all’altro. Metti prima una password sul PDF, così il documento è inutile per chiunque lo intercetti o lo riceva per errore. Puoi farlo sul tuo dispositivo con proteggere PDF, senza alcun caricamento, e condividere la password attraverso un canale separato come una telefonata.
Firma senza stampare e riscansionare. Contratti e approvazioni hanno bisogno di una firma, e la vecchia routine di stampa, firma, scansiona, butta la carta lascia copie sparse ovunque. Aggiungere la firma direttamente al PDF mantiene un unico file pulito e salta la traccia cartacea. Lo strumento firmare PDF lo fa nel browser, così il contratto non lascia mai il tuo computer per essere firmato.
Il lavoro quotidiano sui PDF nelle HR sembra noioso, e questa è la trappola. Unire due file o firmare un contratto richiede pochi secondi, e quei secondi sono il momento in cui i dati sensibili o restano dove sono o se ne vanno in silenzio. Se vuoi la versione più lunga di come va a finire quando i documenti passano attraverso un ufficio paghe o un commercialista, questo articolo su buste paga e privacy lo spiega. Tieni il lavoro sul dispositivo e il lato GDPR diventa molto più semplice.
Esplora per categoria